Защита информационных ресурсов является основной задачей любого системного администратора. Реализовать ее можно при помощи сотни инструментов и технологий самого различного назначения. Особую роль здесь занимают системы защиты сетевого трафика — блокирующие спам и доступ к неблагонадежным веб-ресурсам, VPN; системы, блокирующие кражу персональных данных и прочие угрозы. По всеобщему признанию, лидирующее место в этом сегменте занимает продукция Cisco, с которой мы и познакомимся.

 

Семейство IronPort

Корпорация Cisco получила известность в первую очередь благодаря разрабатываемому сетевому оборудованию, в частности — различного рода многопротокольным маршрутизаторам, которыми она и занималась на заре своего существования. В настоящее время список устройств самого различного назначения очень большой. Основную часть продукции среди них занимают решения, направленные на защиту периметра сети, удаленного доступа, аудита и даже управления доступом. Запутаться в предложении очень легко, особенно учитывая, что в каждой категории представлено несколько решений.

Так как основной обмен и получение информации происходит посредством электронной почты и веб-сервисов, их защите следует уделить особое внимание. Спам, вирусы, различного рода атаки — это только часть проблем, с которыми приходится сталкиваться сисадмину.

Сегодня становятся популярными облачные сервисы, размещенные на площадке провайдера услуг. Если в случае корпоративного сервера защитные функции можно было возложить на единственную точку доступа — шлюз, то теперь мобильный пользователь, по сути, не привязан к корпоративной сети и может подключаться к SaaS напрямую. Такая не имеющая границ сеть требует особого подхода для обеспечения безопасности мобильных пользователей, строгой аутентификации и ограничения доступа к приложениям. С учетом действительных масштабов проблемы предложены и сотни решений различного рода эффективности.

Подразделение компании Cisco — Cisco IronPort Systems LLC (ironport.com), разрабатывающее программно-аппаратные комплексы, защищающие почтовые и веб-сервисы, предлагает эффективный вариант. Семейство IronPort представлено несколькими сериями. Для защиты электронной почты предлагается E-mail Security Appliance (состоит из двух серий C-Series и X-Series, веб-трафика Web Security Appliance (S-Series).

Централизованное управление комплексом защиты из нескольких устройств осуществляется при помощи M-Series. С его помощью администратор собирает журналы с нескольких устройств, формирует отчеты, распространяет единый файл настроек. M-Series обеспечивает место для централизованного карантина, увеличивая пространство для хранения блокированных сообщений. В сетях устройства IronPort чаще всего подключают в режиме прозрачного прокси.

Это позволяет не менять настройки программ (браузеров, почтовых и FTP-клиентов). Трафик на такой шлюз перенаправляется при помощи маршрутизатора, поддерживающего протокол WCCPv2 (Web Cache Communication Protocol). Хотя поддерживается и привычный «непрозрачный» режим. Основу IronPort составляет операционная система AsyncOS, являющаяся FreeBSD-оптимизированной для обработки большого числа соединений с преднастроенным окружением и своими программами. В итоге даже устройства нижнего уровня способны легко обработать до 10000 одновременных соединений, что практически исключает возможность DOS-атаки. Управление AsyncOS осуществляется при помощи веб- или специализированного командного интерфейса (Unix Shell недоступен). Администратор может централизованно устанавливать настройки на нескольких устройствах, делегировать полномочия младших админов и пользователей, определяя при помощи политик доступ для групп к сервисам интернет (FTP, HTTP(S)).

Однако известность семейство IronPort получило благодаря технологии репутационной фильтрации SensorBase. К слову, ранее она называлась SenderBase и предназначалась исключительно для борьбы со спамом.

Она и сейчас часто попадается в рекламных проспектах под этим именем, но направленность SensorBase шире. Для определения надежности узла здесь используется очень сложный механизм репутации Risk Rating. Суть его проста. Сеть Cisco, по сути, является развернутой системой датчиков, насчитывающих сотни тысяч конечных устройств, контролирующих приблизительно 30% мирового трафика, широкий охват и продуманный алгоритм которых обеспечивает очень низкий уровень ошибок. Каждому IP-адресу может быть присвоен рейтинг от -10 до +10. На репутацию влияет большое количество факторов. Конечный алгоритм разработчики не разглашают, но говорят, что в процессе обработки изучается более 200 параметров. Считается, что IP-адреса с низкой репутацией потенциально опасны, и весь трафик с них IronPort автоматически блокирует. Администратор получит внятное сообщение, указывающее на причину такой реакции (malware, фишинг, и т.п.).

Таким образом, применение репутации позволяет отклонить до 80% спама или запретить пользователю попасть на подозрительный веб-сайт еще на этапе соединения, экономя трафик и ресурсы системы. Эта технология уже не раз показала свою эффективность. Так, например, ботнет-сеть Waledac была обнаружена и блокирована в самом начале активации, и компьютеры, защищенные IronPort, не попали под удар. Те, кто возился с настройками такого приложения, как SpamAssassin, знает, как тяжело бывает подогнать его фильтры под конкретные требования. В IronPort администратор просто указывает уровень Risk Rating (стандартный, повышенный и т.п.), все остальное происходит автоматически, никакой подстройки не требуется. Как известно, в традиционных блэклистах есть одна проблема: в них легко попасть, но из них не так просто выйти :).

В отличие от них, в SensorBase список формируется динамически. И если администратор удаленного ресурса решил проблему, и все признаки, понижающие рейтинг исчезли, то и SensorBase автоматически поднимет оценку IP-адреса.

Кроме этого, в IronPort обеспечивается:

  • антиспам-фильтрация Anti-Spam Filters при помощи механизма CASE (Context Adaptive Scanning Engine, адаптивного контекстного сканирования), распознающего даже картинки;
  • фильтрация на основе содержимого;
  • фильтрация веб-адресов (Cisco IronPort URL Filters), позволяющая контролировать правила пользования интернетом и предупреждать попытки обхода 80-го порта;
  • двуслойная защита трафика от вирусов — проактивная (IronPort Virus Outbreak Filters), блокирующая новые вирусы до появления сигнатур, и классическая (Sophos, McAffee);
  • шифрование почтового трафика между устройствами IronPort, проверка сообщений при помощи цифровой подписи;
  • DLP-технологии, предотвращающие утечку конфиденциальных данных (сообщение сканируется на предмет наличия ключевых слов). Исходящие сообщения архивируются, что позволяет в будущем найти источник утечки данных. Контролируется почта, IM, Skype, веб-сайты. В случае нарушения админ получит предупреждение;
  • веб-прокси с кэшированием трафика;
  • просмотр и управление политиками веб-трафика на основе приложений (приложение вычисляется на основе URL, HTTP-заголовков и контента, в настоящее время IronPort «известны» все популярные программы).

Контроль веб-трафика позволяет легко обеспечить требования политик компании по целевому использованию интернета на рабочем месте.

Для определенных групп легко можно перекрыть доступ к развлекательным ресурсам, файлообменным сетям, блокировать видеотрафик и прочее. При таком обилии возможностей настройки IronPort через веб-интерфейс для подготовленного админа сложностей не составят.

Устройства интегрируются с LDAP-каталогами, в том числе и с Active Directory. При покупке IronPort нужно знать, что антиспам, антивирус и проактивная защита лицензируются отдельно. Модули Reputation Filter, DLP и отчетность предоставляются бесплатно и не требуют продления лицензии. К слову, покупать девайс сегодня уже не обязательно. Кроме перечисленного выше, IronPort предлагает облачные решения по обеспечению защиты корпоративной электронной почты. Реализован тридцатидневный тестовый доступ. Чтобы его запросить, следует заполнить форму по адресу ironport.com/try, хотя по опыту — отвечают не всем и не сразу.

 

Серия ASA 5500

Одними из самых популярных продуктов, производимых компанией Cisco, являются многофункциональные устройства Cisco ASA 5500 Series, используемые для защиты сетей всех масштабов (ASA — сокращение от Adaptive Security Appliances), пришедшие на замену семейству PIX. Основная идея при создании ASA 5500 была заложена в стратегии Cisco по созданию самозащищающейся сети SDN (Self Defending Networks, bit.ly/kKmBD5). Устройства ASA 5500 являются, по сути, ключевым компонентом Adaptive Threat Defense, так как способны решить все проблемы с безопасностью при относительно доступной цене.

В результате в одной «железяке» интегрирован межсетевой экран, VPN (с поддержкой SSL и IPsec), IPS (система предотвращения вторжений), фильтр URL и контроль доступа к интернет-сайтам, контроль контента плюс средства борьбы с вредоносными программами — антивирус, антиспам, антишпион, антифишинг и Anti-X (защита от неизвестных угроз). То есть, практически, при помощи ASA 5500 блокируются все опасности, которыми богат сегодняшний интернет. Этим и обусловлена популярность серии 5500. Межсетевой экран анализирует трафик на 2-7 уровнях и безошибочно определяет приложения и протоколы, в том числе IM и P2P, голос и мультимедиа, СУБД и другие. Соответственно, админ легко может настроить использование того или иного вида трафика в организации. В том числе защитить от нецелевого использования разрешенных портов. Например, если в организации прикрыта аська, пользователь легко может обойти запрет, воспользовавшись услугами одной из служб, позволяющих подключаться к сервису по стандартным портам (в первую очередь 80). С ASA 5500 такой номер не пройдет — он сразу обнаружит протокол на другом порту. В Cisco SSL VPN реализованы функции Cisco AnyConnect и Cisco Secure Desktop (CSD).

Задачи CSD — проверка состояния системы безопасности каждого компьютера, пытающегося подключиться к сети, и защита данных в ходе сессии. При подключении проверяется ряд параметров указанных администраторов — сертификат, ключ реестра, версия ОС, IP-адрес, наличие кейлоггеров и других. При первом подключении к VPN на клиентский компьютер устанавливается клиент, доступ к ресурсам LAN возможен через веббраузер по разным протоколам (CIFS, HTTP/S, FTP). После соединения создается безопасная виртуальная машина, включающая шифрованный раздел. Ввод паролей и прочие операции осуществляются внутри VM. После завершения работы все данные удаляются.

За счет поддержки технологий QoS, различных протоколов маршрутизации, IPv6 и других, ASA 5500 легко встраиваются в существующую среду. Традиционно ASA 5500 ставятся на входе сети, наличие нескольких интерфейсов дает возможность разделить сеть на несколько сегментов, выделив, например, DMZ. Прозрачный firewall позволяет не менять топологию сети, при этом сам ASA 5500 будет невидим для хакера.

Учитывая, что финансовые возможности и потребности у каждой организаций разные, серия представлена пятью устройствами (и шестью — в enterprise-уровне), поэтому легко выбрать действительно необходимое по функциональности, не переплатив. Для небольших и средних офисов предназначена самая младшая, восьмипортовая модель Cisco ASA 5505 в двух вариантах — Base или Security Plus, которые обеспечивают соответственно 10000 или 25000 подключений, 10 или 25 соединений через 2 сети VPN, фильтрацию трафика и блокировку сетевых атак. К слову, на eBay можно найти б/у ASA 5505 даже за $150, что очень даже немного для подобного класса устройств.

Старшие девайсы уже имеют встроенный антивирус, поддерживают балансировку VPN, проверку GTP/GPRS и прочее. Количество поддерживаемых VPN-сетей, которые можно использовать, например, для связи между офисами или подключения отдельных пользователей в ASA 5520 увеличено до 750. Относительно невысокая цена при наличии большого числа интегрированных функций делает серию 5500 весьма востребованной. Конечно, никто не мешает купить сервер и установить на него OpenSource-компоненты (Squid, HAVP, SquidGuard, ClamAV, OpenDPI, OpenVPN и многие другие), но согласись, что правильно настроить все это хозяйство сможет далеко не каждый, да и подгонка параметров потребует большего времени. Такой вариант подходит, когда мало средств, но есть время на доводку. Но в большинстве случаев очень тяжело рассчитать максимальную нагрузку, которую выдержит такой сервер.

А что будем делать, когда админ возьмет и уволится? Новому придется потратить прилично времени, чтобы разобраться с настройками, а найти хорошего спеца очень тяжело (Сергей превозносит Cisco и опускает опенсорс? Что-то произошло! — Прим. ред.). В случае применения многофункционального устройства Cisco мы получаем все готовенькое с вполне понятными характеристиками и техподдержкой, которая крайне важна на первых этапах внедрения любого решения. Если фирма быстро развивается, то даже если и закупать маршрутизатор с некоторым запасом, его через какое-то время уже может не хватить. Закупать новый накладно, ведь имеющийся еще не выработал полный ресурс. В случае с ASA 5500 Series (как, впрочем, и с другими сериями) базовые функции можно увеличить, просто купив новую лицензию и нарастив модули. Так, например, можно доустановить модуль адаптивной проверки и предотвращения атак AIP-SSM (Advanced Inspection and Prevention Security Services Module) или CSC-SSM (Content Security and Control Security Services Module). Запаса по мощности у девайсов Cisco обычно хватает с головой, чтобы обеспечить увеличившуюся нагрузку.

 

Cisco MARS

Одним из ключевых компонентов SDN является система мониторинга и реагирования Cisco MARS (Monitoring Analysis and Response System). Собирая данные с сетевых устройств (включая Cisco NetFlow), они обеспечивают контроль их состояния и защиту. Возможен мониторинг приложений, производится анализ аномалий и поведения сетевых объектов, корреляция событий. Кроме собственно оборудования, Cisco поддерживает решения других вендоров — ISS RealSecure Network, McAfee IntruShield/Entercept HIDS, Juniper IDP, Snort и других.

Широкий охват и алгоритмы анализа минимизируют вероятность ошибки. В процессе опроса устройств выполняется анализ их конфигурации и производится запрос к базе данных уязвимостей (Qualys Guard ANY, E-Eye, Retina Scanner Vulnerability и CVE). Полученный ответ позволяет определить наличие проблем в конфигурации устройств и обнаружить потенциально уязвимые места в системе защиты. Предусмотрено протоколирование основных событий, что позволяет в последующем отследить действия хакера в масштабе сети или отдельного узла. Система представляет атаку в графической форме с подробным анализом, что позволяет быстро определить, через какие устройства осуществлялась атака. Это очень упрощает последующее расследование инцидента, а значит, и возможность более быстрой ответной реакции.

Система предоставляет более 150 готовых отчетов. Оповещения отправляются на e-mail, записываются в журнал, SNMP. Устройство самостоятельно строит карту сети, обнаруживая маршрутизаторы, firewall, IDS/IPS и т.д. Система поставляется с целым набором предустановленных правил, администратор при помощи графического интерфейса может самостоятельно создавать новые правила, объединяя события с контекстом.

В итоге, MARS является эффективным средством мониторинга сетевой безопасности. К сожалению, Cisco объявила об end-of-life этого продукта, с июня 2011 года он будет постепенно исчезать из продажи. Срок окончания поддержки датирован концом июня 2015 года. Замены MARS не предложено, пользователям рекомендуется перейти на Cisco Security Manager.

 

Заключение

Продукция Cisco окружена ореолом таинственности, и пока не столкнешься с ней в реальности, создается впечатление, что это сложные в настройке устройства. На самом деле, любой пользователь, имевший ранее дело с *nix, разберется с большинством функций буквально за пару дней.

 

Эмулятор CISCO

Чтобы научиться работать с Cisco, необходим доступ к оборудованию. Но цена на девайсы этой фирмы кусается. И хотя на том же eBay можно найти устройства ценой до $100 (маршрутизаторы), — это все начальный уровень и устаревшее оборудование. Те, что посовременней, потянут уже на пару тысяч, а то и больше. Замкнутый круг. Но выход есть! Для зарегистрированных преподавателей и студентов курсов Cisco предлагает программный эммулятор Packet Tracer (cisco.com/web/learning/netacad/course_catalog/PacketTracer.html), задача которого — закрепить на практике полученные знания. При помощи PT можно легко создавать целые виртуальные сети различной топологии и с различным количеством устройств. Для подключения предложены все основные типы оборудования выпускаемого Cisco (роутеры, свичи, точки доступа, VPN и т.п.), подключившись к которым, можно менять настройки, моделировать обмен данными.
Кроме этого «реализованы» все технологии и протоколы, используемые в оборудовании Cisco, поэтому настройка в RT практически ничем не отличается от реального оборудования.

Запустить Packet Tracert можно на Windows XP-7 и некоторых дистрибутивах Linux. Кроме RT популярны и другие эмуляторы — Dynamips (ipflow.utc.fr/index.php/Cisco_7200_Simulator) и GNS3 (gns3.net).


Эмулятор Cisco Packet Tracert доступен преподавателям и слушателям курсов


Бесплатный симулятор Cisco — GNS3

Оставить мнение

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…